Torpig, la rete botnet regina del crimeware italiano

2009-05-06T09:14:50+00:00 06/maggio/2009 |Sicurezza|

Softpedia riporta oggi uno studio molto interessante della Università di Santa Barbara, dove alcuni ricercatori hanno preso controllo per una decina di giorni di una delle botnet più vecchie del mondo: Torpig. Nota anche come Sinowal o Anserin, Torpig ha enorme diffusione in Italia: siamo secondi solo agli Stati Uniti e primo paese in Europa, con una diffusione di quasi 50000 macchine infette. Una botnet infatti non è altro che una rete di macchine collegate da connessioni casalinghe o aziendali, delle quali la criminalità organizzata prende il controllo per collegarle in una rete sotterranea dedita ad attività criminali. Nello specifico Torpig è specializzato nel furto di numeri di carte di credito e nell’infiltrazione di sistemi bancari online.

Per lo studio delle botnet, è necessario accedere ai server di controllo, che spesso sono server IRC o HTTP customizzati per dare comandi alle macchine infette. Spesso il ricercatore e le forze dell’ordine si valgono della collaborazione di registrar, in maniera da controllare il sistema DNS e ingannare le macchine schiave in maniera che confondano un server sano con il loro server di comando. Questo permette la mappatura della rete botnet e la registrazione di tutte le informazioni scambiate tra le macchine. Nel caso specifico, il sistema usato da Torpig è il domain flux: vi lasciamo al documento pdf per i dettagli sull’escamotage usato per l’infiltrazione da parte del laboratorio di ricerca presso l’Università.

Impressionanti i dati di sommario riportati da Softpedia: 70 GB di dati raccolti, 182 mila macchine infette collegate al server di comando, per oltre un milione di indirizzi IP. Account bancari compromessi: PayPal (1,770), Poste Italiane (765), Capital One (314), E*Trade (304) e Chase (217). Password rubate: 173,686.